Apache HTTP Server Update Patches Critical Source Code Disclosure Flaw (CVE-2024-39884)
2024/07/04 securityonline — 先日に Apache が公表したのは、深刻なソースコード漏洩の脆弱性 CVE-2024-39884 に対処する、Apache HTTP Server 2.4.61 への緊急アップデートの実施である。Apache チームにより “Important” と評価された、この脆弱性の悪用に成功した攻撃者は、サーバに保存された機密情報を漏えさせる可能性を手にする。
この脆弱性 CVE-2024-39884 は、従来のコンテンツ・タイプ・ベースの、コンフィグレーションの処理におけるリグレッションに起因している。具体的に言うと、”AddType” ディレクティブなどの設定が使用される場合に、処理対象のファイルのソース・コードが誤って公開される可能性があというものだ。そこに含まれるものとしては、サーバ側のスクリプト/コンフィグ・ファイルなどが挙げられる。
ソースコードの漏えいは、技術的な懸念のように見えるかもしれないが、その影響が広範囲に及ぶ可能性がある。攻撃者は、この脆弱性を悪用し、以下のことが可能にする:
- サーバ環境への理解を深める: 特定のソフトウェアのバージョンやコンフィグを標的とする、より高度な攻撃が可能になる。
- 公開されたコードの脆弱性を特定:この脆弱性を悪用する攻撃者は、サーバ全体や接続されているシステムを危険にさらす可能性を手にする。
- 機密データの搾取:公開されたコードにデータベース認証情報/APIキーなどの機密情報が含まれている場合には、悲惨な結果を招く可能性がある。
Apache チームが推奨するのは、Apache HTTP Server 2.4.60 の全ユーザーが、直ちにバージョン 2.4.61 へとアップグレードすることだ。この最新バージョンは、ソースコード漏えいの不具合を修正するだけではなく、以前のバージョンで発見済みの、複数の脆弱性やバグにも対処している。
Apache HTTP Server 2.4.61 で修正された脆弱性の詳細については、Apache 公式サイトのセキュリティ・アドバイザリを参照してほしい。さらに、進化する脅威に対する防御を強化するため、WAF/侵入検知システム/定期的な脆弱性スキャンなどの、追加のセキュリティ対策の実施が推奨される。
リグレッションというのは、IT 用語辞典によると「プログラムにおいて、直したはずのバグが復活していたり、前はなかったはずのバグがあったり、実装したはずの機能がなくなっている状態」とのことです。そこから、ソースコードの漏洩につながる経路が分かりませんが、ご利用のチームは、ご注意ください。よろしければ、Apache HTTP Server で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.